一直不想重装,查了各种资料,发现我这种并不典型(例如cpu不高,也没有发现可疑定时任务等),没有找到可以照搬的方法。
我就换了一个思路,既然网管认为我访问的可疑域名,我就把dns服务的包抓出来,把所有可疑域名(大概5,6个)全部ban掉,不发到网管,但发现网络还是不通。持续几天不通后,我想到可以询问网管看看后台情况是什么样的,网管没直接回复,但一段时间后在抓包过程看到有陌生ip,查询该ip是新加坡的云服务商的IP,尝试ping该地址,发现网络通了,目前测试网络基本正常。
从应对措施来看,感觉没有解决根本问题,同时抓包还发现有大量的dchp discover包,本机是配置的静态ip,不知道这个包从哪里来的,或者是本机发的,或者是其他机发的广播包。但在抓包时加上-n选项(会显示有可疑域名:68->255.255.255.255:67的包,感觉可疑域名又可能是木马在本机上开的虚拟机,企图通过dhcp获得ip以便访问网络。
现在想:如何判定discover包是本机发的,有没有什么办法阻止本机发送dhcp请求(尝试关闭dhcp用到的67端口,但没成功,话说采用firewall-cmd如何关闭端口啊?)
如果存在木马,上面的方法显然没有解决根本问题,如果有更好的方法,请大家指教一下。
【 在 DragonDon 的大作中提到: 】
: 有一台内网的centos服务器,这几天突然无法访问外网了(内网访问没有问题)。
: 现象是:1、访问网页比如百度这类,返回’The connection has timed out‘;2、ping外部ip地址,丢包率很高,还比较有规律,每300个包返回2,3个;3、无法连接上外部机器,显示超时;4、top查看,cpu占用率不高;
: 怀疑是出口被限制了,但网管否认,同时反馈说有木马,并截图所示
: ...................
--
修改:DragonDon FROM 101.204.142.*
FROM 101.204.142.*